USN visszagörgetést nagy és rettenetes, mvvrus

Mi az USN visszagörgetéssel

Doing elsődleges vizsgálatok

Tesztszerver: Default-First-Site-Name \ DC2
Kiindulási teszt: reklám
Figyelmeztetés: DsGetDcName visszatért információ \\ DC1.domain.loc, amikor
akartuk elérni DC2.
Kiszolgáló nem válaszol, vagy nem megfelelőek.
......................... DC2 teszt sikertelen reklám
...........................................................................

azonosítójú esemény 2095

USN visszagörgetést nagy és rettenetes, mvvrus

és Event ID 2103

USN visszagörgetést nagy és rettenetes, mvvrus

Az első ilyen események csak egyszer, az első előfordulása után az újraindítás problémák jelennek meg, mint a második és minden további újraindítás a tartományvezérlő.

Active Directory van kialakítva, hogy a szinkronizáció (replikáció) lehet továbbítani a cél CD nem a teljes adatbázis, de csak azokat a változásokat, amelyek még nem kapta meg a cél CD. Erre a célra az egyes változások (beleértve az újonnan Souza) az AD adatbázis-objektum vagy objektum attribútum jelöli a metaadatokkal azonosító CD (Fohász ID), ahol a változás kezdetben történt, és sorszám (USN) a változás ebben a az eredeti CD-t (lásd a metaadatok bármely tárgy és annak minden attribútumok repadmin / showmeta csapat). Minden változás, kezdetben a CD-n, ez a szám növekszik. Ezen kívül minden CD üzletek egy listát a legnagyobb számban többismétléses változások az egyes ismert a CD-frissítési források (azonosított Fohász ID) minden címtárpartíción - akár aktualitására vektor (láthatjuk a repadmin / showutdvec csapat). És CD replikáció kérelmek csak azokat a módosításokat, USN szám, amely nagyobb, mint a maximális számát már megtermelt változásokat.

Ebből a leírásból világos, hogy ha a jelenlegi legmagasabb USN szám valamilyen okból csökken, a változás a következő számokkal jelölve USN a különbség az új jelenlegi maximális számát USN és tárolt többi CD Maximum többszörözött változások soha tovaterjed a többi CD azaz AD adatbázis lesz inkonzisztens állapotban - a tartalmak különböző tartományvezérlőkön mindig más.

Mivel minden AD működési algoritmusok alapján, hogy az adatbázisok tartalmának különböző CD (vagy gyorsan válik) azonos, a fent leírt helyzet elfogadhatatlan. Ennek elkerülése érdekében az AD replikáció mechanizmusa adunk egy eleme az ellenőrzés, ellenőrzés idején az első CD-replikáció, a jelenlegi legmagasabb USN számot a tartományvezérlő nem kevesebb, mint a maximális többismétléses változások, ismert a replikációs partner. Ha ez a feltétel nem teljesül, akkor az AD blokkolja a bejövő és kimenő replikáció, valamint a védjegyek (a registry-ben) egy példányát az adatbázis, hogy nem érhető felvétel miatt USN szám visszatér a kisebb érték - azaz csak okozza a nagyon ismertetett tünetek elején cikket.

USN Visszagurítás Detection működik, sajnos, nem mindig. Ha a helyreállítási tartományvezérlő után a kép nem esedékes hosszú ideig a többi CD és rajta ez idő alatt van egy csomó változás, miután a kommunikáció helyreáll lehet, hogy abban az időben az első replikációs visszaállítása után a jelenlegi maximális számát USN nagyobb, mint a maximális számú másolt változások a feltétel hiánya USN visszagörgetést formálisan teljesül, valóban megtörtént rollback változások észlelése és számok része lesz a változás, és nem lehet reprodukálni. Ez a lehetőség nem kizárt a helyreállító CD után katasztrofális hiba valahol a fióktelep olyan eset, hogy a hiba szenvedett és a kommunikáció. Így megállapítást idézett a cikk korábbi tünetek, akkor is élvezheti - a dolgok rosszabb is lehetne.

Hogyan kell kezelni USN visszagörgetéssel

A legjobb kezelés - van, mint tudjuk, a megelőzés. Amikor kérte a téma ezt a cikket, ez azt jelenti: készítsen biztonsági másolatot az adatbázisról AD (ez tartalmazza a rendszer állapota részben a CD) rendszeresen, és azokat egy program, amely tudja, hogyan kell másolni, és ami a legfontosabb -, hogyan kell visszaállítani az AD tárol. A legegyszerűbb ilyen program - ez a beépített Windows Server biztonsági másolat. A megfelelő szoftver kiküszöböli a legtöbb lehetséges eseteit USN visszavonása és ha volt ilyen gond jelentkezett (például, mivel a RAID-vezérlő meghibásodik, a rendszer lemez tükrözve) - minden gond nélkül visszaállítani az AD tárol.

De itt van, mit kell tenni, ha a katasztrófa már megtörtént, és a biztonsági másolatot az AD adatbázis nem? Gyártó Ajánlások - Microsoft - egyszerű és szerény: alacsonyabb az erő tartományvezérlő, vegye metaadatokat AD és emelje fel a hátsó. Ezek egyszerű és sokszor leírták, itt nem fogok lakni ezeket az eljárásokat. A legtöbb esetben ez lehet tenni elég biztonságos, és valójában, a készlet erejéig, és ez megéri.

További érdekes kérdés - mi a teendő, ha kénytelen le a későbbi csökkenése - nem alternatíva? Például, ha egy CD valamilyen olyan program, amely egy jelentős valószínűséggel nem fogja túlélni az ilyen manipuláció. USN visszaállítása vagy származott egyetlen adatkezelő, az újonnan létrehozott domain, amely már jelenleg is az új felhasználók hoztak létre. Vagy például volt a helyzet az orosz Technet fórum, amikor a rendszergazda sikerült vezetni az állam USN visszagörgetéssel minden Az erdő gyökér domain - hogyan kell menteni az erdőben? Ilyen esetekben a gyártó által javasolt módszer a probléma megoldására nem alkalmas. De a kijárat mégis est.Chtoby megérteni, hogy ez működne, akkor érdemes két dolgot: mind a megfelelő rekonstrukciója AD adatbázis elkerülhető USN visszagörgetéssel, és milyen változások történtek a konfiguráció a CD, ha azt észleli ezt a feltételt.

Annak érdekében, hogy a helyességét a visszaállított adatbázis-helyreállítási program nem egy egyszerű dolog: ez után a helyreállítás befejeződött (és ez akkor keletkezik, amikor betölti a könyvtár-támogatási mód) a nyilvántartásba az új értéket a Fohász azonosító paraméter «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \ Parameters \ Új adatbázis GUID »okozva AD elején a következő rendszerindítás során normál módban megváltoztatni a Fohász ID - vagyis teszi meg (a szempontból adatbázisadatok replikációs mechanizmusa AD) felújított tartományvezérlő ak egy új, teljesen más CD, a változások, amelyek rögzítik, függetlenül a múlt, amely lehetővé tette, hogy a helyreállítást.

Ami a válasz USN Rollback az két dolgot: egyrészt, hogy a téma, hogy az ő CD van kapcsolva (beállításával DISABLE_INBOUND_REPL zászlók és DISABLE_OUTBOUND_REPL attribútum Options tárgy «NTDS Settings», a témához kapcsolódó, a CD a konfiguráció részben) a bejövő és kimenő replikáció, másrészt a nyilvántartásban a CD-t a paraméter «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \ Parameters \ DSA nem írható» (típus REG_DWORD) van rögzítve, hogy az AD adatbázis nem megengedett, mert az esemény a USN visszagörgetéssel (érték egyenlőre van beállítva 4). Ha azt észleli, hogy az utolsó paraméter egy rekord a naplóeseményre ID 2103, de a Netlogon szolgáltatás kerül egy felfüggesztett állapotban van.

És a fentiek fényében, világossá válik, hogy meg kell csinálni, hogy a tartományvezérlő állapotának USN visszagörgetéssel:

Saját receptek.

Figyelmeztetés. Az alábbi műveleteket nem alapja a Microsoft hivatalos ajánlás (bár tesztelt nekem személyesen). Ők vezethet egyező Active Directory-adatbázis példányban különböző tartományvezérlőkön (lásd. Alább). Így használd őket a saját felelősségére és csak szélsőséges esetekben.

2. Ha a figyelmeztetést az érintett tartományvezérlőjévé AD adatbázisban már történt semmilyen változás bekövetkezése után az állam a USN visszagörgetéssel, ezek a változások valószínűleg soha nem lehet reprodukálni a többi tartományvezérlő is helyreállítása után az alábbi eljárást (az okokat figyelembe vették az előző fejezetben). Emiatt lesz egy mismatch adatbázis példányban. És akkor ez vezethet furcsa viselkedését (pl egyező jelszavak számlák), vagy megsérti a replikáció (bug 8606). Ha az USN visszagörgetéssel észlelt azonnal, és a tartományvezérlő zárolták időben a valószínűségét az ilyen hibák kicsi. De ha mégis, például kinyert disk image vezérlő valahol az ág, a következmények nagyon kellemetlen. Remélem, hogy hogyan lehet előre kiszámítani az ilyen változások és elérhetővé teszi a replikációt, egy későbbi cikkben.

1. az AD változás Fohász ID. Bár akkor ezt közvetlenül írásban a megfelelő értéket a rendszerleíró adatbázisban, találok előnyös erre a segítségével a rendszeres biztonsági mentés / visszaállítás - ez egyúttal megszünteti és az esetleges ferde példányban SYSVOL az érintett tartományvezérlő, és más CD és lehetővé izbedat lehetséges problémákat a replikáció (ezt egy másik téma, hogy itt vagyok nem érinti). A sorozat a tevékenységek, mint a következő (nem festék a részleteket az összes lépést, mivel azok tükröződik sok tankönyv):

1a. Előkészítő intézkedések. Állítsuk be, ha még nincs telepítve, a tartalék alkatrész és előkészíti a helyet, ahol a mentés (akár tisztán helyi vagy cserélhető meghajtót, vagy egy üres megosztott hálózati mappa) kerülnek rögzítésre. Azt javaslom is, hogy (repadmin / showrepl parancs) rögzíti az aktuális tartományvezérlő Fohász ID.

1c. Indítsa el Directory Services Restore módban, és helyreállítsa a rendszer állapotát. Azt javaslom, ezt a nevében a helyi számviteli Directory Services Restore Mode rendszergazda fiók (Láttam olyan eseteket, amikor megpróbálja helyreállítani a rendszer állapotáról a regisztrációs alatt a domain adminisztrátorok vezetett, hibákat).

1d. Töltsük be a tartományvezérlő a normál üzemmódba.

2. Hagyja a bejövő és kimenő replikáció a tartományvezérlő. Mielőtt bekapcsolná a replikációs elővigyázatosságból azt javasoljuk, ellenőrizze, hogy megmutatja a parancs repadmin / showrepl Fohász ID érték változott, mint a régi, fix lépésben 1a

Replikáció aktív csapatok

repadmin / options imya_KD -DISABLE_INBOUND_REPL

repadmin / options imya_KD -DISABLE_OUTBOUND_REPL

4. Indítsa el a felfüggesztett állapotban (ha nem fut is) a Netlogon szolgáltatás

Fenti lépések elvégzése után, azt ajánlom (de nem szükségszerűen), hogy újrainduljon a tartományvezérlő, és végre ő diagnosztika dcdiag parancs: miután a felszámolás USN visszagörgetéssel előfordulhat, és egyéb hibákat (lásd például a már említett esetben az orosz fórum Technet - ott kellett szüntetni. és a problémák SYSVOL, és nem a távoli időben ( „beragadt”) miatt törött replikáció objektumok).

Recovery Sok szerencsét. Így többé nem.